daabm

Im Zweifel glaub mir - ich hab das Buch geschrieben, @zahni spricht nur aus eigener Erfahrung @James_Eric Besorg Dir die Microsoft Security Baselines und setze die um. Google ist Dein Freund, Du wirst sie finden...

Es wäre vielleicht klug, ein Problem nach dem anderen zu lösen und nicht zu viel in einen Thread zusammen zu werfen. Ich blicke hier schon nicht mehr durch, was eigentlich das ursprüngliche Problem ist, was genau noch aktuell ist und welche Fehlersituation konkret besteht...

Winfried, im LAPS-Download ist doch jede Menge Doku enthalten?!?

Ja, so b***d das klingt: Du brauchst "irgendeine" Liste, in der Deine Windows-Installationen mit der zugehörigen Lizenz stehen. Und die sollte halt mit dem, was man in der Realität nachprüfen kann, 1:1 übereinstimmen... Du selbst kannst natürlich die KMS-Daten als Basis für diese Liste nehmen. Aber für den Audit ist das belanglos.

Der Faden ist richtig spaßig, da ist von allem was dabei Bin gespannt, ob wir ein faktisch greifbares Ergebnis erfahren.

Du hast ja recht - sorry dafür, das war ein Frust-Abend... Wir handhaben das so, daß Bitlocker über das Software-Deployment aktiv getriggert wird (aus zu Beginn, an am Ende). Da gab es bisher wenig Probleme, allerdings gehört dazu einiges an eigens geschriebener Software. Und wie bei den meisten Firmen dürfen wir das nicht rausgeben - unsere Firma arbeitet noch am "open source Prinzip"

Mir ging es mehr um das zweite Argument - lesbarer Code. Nix gegen Pipelining, wenn man das mal kurz auf der Commandline eintippt. Aber der TO sprach von einem Skript, und da finde ich halt Foreach besser als die Pipe. Das ist besser lesbar und damit auch einfacher wartbar. Und auch einfacher zu debuggen :-)

Ja, ich könnte. Sollte ich echt mal machen

Ja, elend. Wir sind mit der Win7-Ablösung soweit fertig, unsere Kunden steuern die Umstellung selbständig, manche haben da noch ne Bugwelle vor sich, die meisten sind fertig. Das Leben kann auch schön sein

Ich würde da mal was anders machen beim Foreach... Man kann das pipen, oder man macht es als Schleife. Oben ist die Pipe-Variante. Ich bevorzuge immer $Members = Get-ADGroupMember -Identity 'WeNeedMoreBeer' Foreach ( $Member in $Members ) { $Member | Select-Object -Property LastOrder } Zum einen ist das schneller (Faktor 2 bis 10), zum anderen erzeugt es deutlich besser lesbaren Code

Wenn der TO doch unbedingt nen Client als Server betreiben will.... laßt ihn doch. Ich würde ja auch nen Essentials nehmen in dem Fall. Oder wie immer 2 DCs und dann App-Server dazu. Bei 25 Clients finde ich 2 VM-Hosts ok, die je 1 DC hosten und 1 File/Application-Server.

Um @NorbertFe seine Aussage noch mal zu verdeutlichen: Der KMS ist KEIN Lizenzmanagement. Der Lizenznachweis gegenüber MS muß bei einem Audit auf anderen Wegen erfolgen, der KMS wird dafür nicht akzeptiert.

Kontraproduktiv Die kopiert man zusammen, denn sowohl beim Client als auch beim Server gibt es ADMX, die der jeweils andere nicht im Bauch hat. Deshalb würde ich immer den Download nehmen, da sind ALLE drin. Und die werfe ich dann in den CentralStore und hab meine Ruhe. Machen wir in der Firma natürlich nicht so - da stehe ich extrem darauf, unterschiedliche ADMX verwenden zu können je nach System, aber das ist ein anderes Thema, da könnte ich Bücher drüber schreiben

Der Screenshot sagt, daß das Programmseitig alles ok ist. Resize-Menü ist weg, rechts unten fehlen auch die Punkte, die Resize zulassen würden. Ihr müßt wohl woanders ansetzen.

Mal wieder was zum technischen Teil: Ich hab clientseitig XP->Vista->Win7->Win10 begleitet. XP nach Vista war recht mühsam, weil Reinstallation aller Geräte. Dafür haben wir was gebastelt ähnlich dem USMT, das aber spezifisch computerbezogene Teile auch mitnehmen konnte. Hat gut geklappt. Vista nach Win7 haben wir inplace gemacht - nie wieder, zu viele Abbrüche wegen individueller Spezialitäten. Win7 nach Win10 wieder per Reinstallation, und wieder mit dem alten Eigen-Gebastel, das schon von XP nach Vista verwendet wurde - funktioniert gut! Wichtig finde ich: Erklär den Betroffenen nicht, daß das sein muß, weil xyz, sondern daß sie folgende Vorteile haben: xyz. Riesen psychologischer Unterschied... Und bei der reinen Bedienung dürfte es eh keine Probleme geben, die Heimrechner laufen ja alle mindestens unter Win7, meist Win10. Ebenso wichtig aus Deiner Perspektive: OS-Updates NICHT aussitzen oder aufschieben, am besten immer sofort bei Erscheinen mit Planung/Rollout beginnen. Aufschieben bringt nix, es holt Dich auf jeden Fall ein

Ich würd mich da jetzt per Forum raushalten - das klingt nach "wir brauchen einen Profi vor Ort"...

Nochmal langsam.... Die GPMC liest die ADMX-Vorlagen aus C:\Windows\PolicyDefinitions. Also lokal. WENN man nicht SYSVOL\Policies\PolicyDefinitions erstellt hat ("Central Store") - gibt es das bei Euch? (Sieht man übrigens beim Bearbeiten einer GPO, steht im linken Baum hinter "Administrative Vorlagen"...) Und wenn man den ADMX-Download installiert, liegen die neuen Files erstmal sinnfrei unter %ProgramFiles% rum und müssen daher kopiert werden. Gemacht?

Ich bin bei @tesso, da stimmt was Grundsätzliches mit dem Routing nicht. Und mit "PFSense als DNS" hat das definitiv nichts zu tun. tracert könnte helfen, aber ich vermute, daß das direkt am ersten Hop enden wird. Teamviewer kann ich nicht anbieten, ich bin nicht selbständig und kann keine Rechnung ausstellen

Bei 100 geht doch genauso einfach wie bei 5 - paar Zeilen Powershell mit Foreach

Naja, Leserechte auf die AD-Objekte, die gebrowst werden können sollen Also Domain auf jeden Fall, dann OUs nach Bedarf und darin dann halt, was auch immer benötigt wird. Edit: Warum eigentlich das Remote-AD browsen? Wenn das uneingeschränkt möglich sein soll dann könntest auf SelectiveAuth auch gleich verzichten. Vielleicht hilft es, wenn Du bei der Anforderung anfängst und nicht gleich beim Problem.

Ich kenne das Problem, habe aber auch keine Lösung dafür Auf meinem Laptop (HP ZBook) zerrupft es dem Firefox regelmäßig die Titelleiste, in der ja auch die Tabs drin sind. Browser scließen und neustarten behebt das Ich vermute ein Problem im Zusammenspiel GraKa-Treiber, Windows Fensterverwaltung und dem Einbauen von Tabs in die Titelleiste, die dafür ja nie vorgesehen war. Mir ist es aber nicht wichtig genug, da tagelang nach einer Lösung zu suchen - bedienbar ist ja alles noch. Und solange ein Browser-Neustart das behebt, who cares...

Mist, vergessen :-( Und bevor ich kruschtel: Grad fällt mir das hier wieder ein, auf das ich auch schon mal zurückgegriffen habe, man muß ja nicht immer das GANZE Rad neu erfinden https://gallery.technet.microsoft.com/scriptcenter/Group-Policy-WMI-filter-38a188f3#content Und aus dem Kopf wegen 1;3;10;xx: 3 ist die Länge von "WQL", 10 die Länge von root\CIMv2, XX die Länge des Query-Strings. Die 1 weiß ich nicht mehr sicher. Kann sein, daß das für die Anzahl der Queries im Filter steht, das können ja mehrere sein. Dann würde 3;10;xx mehrfach vorkommen.

Das sind nahezu null Objekte - 2000 bis 3000 ist gar nichts. Hm - zu viele Domains? Ich hab keinerlei praktische Erfahrung mit Multi-Domain Forests, aber der globale Katalog muß halt auch in die NTDS rein. (Wir haben uns in 2001 für Single Domain Forests entschieden und sind damit prima gefahren, wir werden das niemals ändern ) Du könntest mal ein paar von den Treffern hier folgen: https://www.google.com/search?client=firefox-b-d&q=ntds.dit+determine+size+reasons Habt Ihr Benutzerbilder mit reingenommen? Irgendwas anderes, was viel Platz braucht? Ich weiß es nicht...

Du schreibst, daß Ping ins Internet auch nicht geht - Ping auf Name oder IP? 8.8.8.8 sollte immer gehen, das ist ein DNS von Google... Wenn es mit IP geht und mit Name nicht, liegt Dein Problem in der DNS-Forwarder Konfiguration. Bei "Raus" spielt das Doppel-NAT keine Rolle, sonst wären auch alle Kabel-Internet-User angeschmiert. Die sitzen immer hinter einem Doppel-NAT. Da ist nur "rein" ein Problem, vor allem per VPN

Change Request für GPO-Änderungen? Du arbeitest in einer größeren Firma